OpenSSLがアップデート - 「Lucky13攻撃」関連など脆弱性5件を修正

OpenSSLの開発チームは、重要度「高」を含む5件の脆弱性に対処したアップデートをリリースした。

修正を公開したOpenSSL

「DROWN」で知られる脆弱性「CVE-2016-0800」に対応した3月のアップデートからおよそ2カ月ぶりの修正で、重要度「高（High）」の脆弱性1件や、「低（Low）」の脆弱性4件に対処した。

重要度「高」の脆弱性は、パディングオラクル攻撃が可能となる脆弱性「CVE-2016-2107」。「マンインザミドル攻撃（MITM攻撃）」により、通信内容が解読されるおそれがある。パディングオラクル攻撃の一種である「Lucky Thirteen攻撃」の脆弱性「CVE-2013-0169」に関連した修正だという。

開発者チームは、同脆弱性を含む5件の脆弱性を「OpenSSL 1.0.2h」および「同1.0.1t」にて解消した。

また今回のアップデートにあわせて、2015年4月より以前のバージョンに影響を与える重要度「高」のメモリ破壊の脆弱性「CVE-2016-2108」もあらたに明らかとなった。「同1.0.2c」「同1.0.1o」以降であれば影響を受けないが、あわせて注意を呼びかけている。

今回明らかとなった脆弱性は以下のとおり。

CVE-2016-2108
CVE-2013-0169
CVE-2016-2105
CVE-2016-2106
CVE-2016-2109
CVE-2016-2176

（Security NEXT - 2016/05/06 ） ツイート

PR

関連記事

「Cisco NX-OS」に6件の脆弱性 - 重要度「クリティカル」も
「VMware vCenter Server」の深刻な脆弱性 - 悪用リスク上昇
「VMware vCenter Server」に深刻な脆弱性 - 「VMware ESXi」の脆弱性も
Windows向け「Zscaler Client Connector」に権限昇格の脆弱性
「Cisco Application Services Engine」などに深刻な脆弱性
「Movable Type」にXSSの脆弱性 - アップデートが公開
「Firefox 86」が公開、Cookie対策強化 - 脆弱性12件を修正
SonicWall、VPN製品向けに追加アップデート - すぐに更新を
CiscoのWindows向けVPNクライアントに脆弱性 - 更新を
「Office for Mac」向けにセキュリティ更新 - 脆弱性2件を修正